管理 CIS 以实现最佳安全性
IBM Cloud® Internet Services ( CIS ) 安全设置包括安全默认值,旨在避免误报和对流量产生负面影响。 但是,这些安全缺省设置不会为每个客户提供最佳安全态势。 请按照以下步骤确保 CIS 账户的配置安全可靠。
- 通过使用代理服务器和增加混淆功能,确保您的源 IP 地址安全。
- 有选择地配置安全级别。
- 安全激活 Web 应用程序防火墙 (WAF)。
- 配置 TLS 设置。
最佳实践 1:保护源 IP 地址
当子域使用 CIS 进行代理时,所有流量都会受到保护,因为 CIS 会使用与其相关的特定 IP 地址进行响应。 此过程有助于确保您首先连接到 CIS 代理服务器,从而隐藏您的原始 IP 地址。
对来自 HTTP 的流量的所有 DNS 记录使用 CIS 代理
为了提高源 IP 地址的安全性,您必须代理所有 HTTP 和 HTTPS 流量。
通过查询非代理记录和代理记录,了解两者的区别:
dig nonproxied.theburritobot.com +short
1.2.3.4 (The origin IP address)
$ dig proxied.theburritobot.com +short
104.16.22.6 , 104.16.23.6 (CIS IP addresses)
使用非标准名称来隐藏不通过代理传递的源记录
任何无法通过 CIS 进行代理,但仍使用您的源 IP 的记录(如 FTP),都可以通过创建额外的混淆来确保安全。 特别是,如果您需要一个无法通过 CIS 代理的起源记录,请使用非标准名称。 例如,代替 ftp.example.com
使用 [random word or-random characters].example.com.
此模糊处理使 DNS 记录的字典扫描不太可能公开源 IP 地址。
对于 HTTP 和非 HTTP 流量使用单独的 IP 范围(如果可能)
有些客户为 HTTP 和非 HTTP 流量使用不同的 IP 范围。 这种方法可以帮助他们代理 HTTP IP 范围内的所有记录,并使用不同的 IP 子网隐藏所有非 HTTP 流量。
最佳实践 2:有选择地配置安全级别
您的安全级别确定 IP 声誉数据库的敏感度。 为避免负面交互或误报,请按域配置安全级别以在需要的位置提高安全性,在适当的位置降低安全性。
将敏感区域的安全级别提高到“高”
您可以在域的高级安全页面中提高此级别,或者通过为管理页面或登录页面添加页面规则来减少暴力破解尝试:
- 使用 API 的 URL 模式创建页面规则(例如,
www.example.com/wp-login
)。 - 找到安全级别设置。
- 将设置标记为高。
- 选择供应资源。
降低非敏感路径或 API 的安全级别以减少误报
对于一般页面和 API 流量,可以降低该级别:
- 使用 API 的 URL 模式创建页面规则(例如,
www.example.com/api/*
)。 - 找到安全级别设置。
- 将安全级别调至低或基本关闭。
- 选择供应资源。
安全级别设置的含义是什么?
“安全级别”设置与特定 IP 地址因网络恶意行为而得到的威胁评分保持一致。 威胁分数大于 10 即为高分。
- 高:如果威胁评分大于 0,将进行质询。
- 中:如果威胁评分大于 14,将进行质询。
- 低:如果威胁评分大于 24,将进行质询。
- 基本关闭:如果威胁评分大于 49,将进行质询。
- 关闭:仅限企业
- 防御模式:只有当网站受到 DDoS 攻击时,才必须使用该级别。 CIS 会对流量和行为进行分析,以确保访问者是试图访问您网站的合法访问者。防御模式可能会影响域上的某些操作,例如使用 API。 您可以为 API 或域的任何其他部分创建页面规则,从而为该部分设置自定义安全级别。
考虑定期检查安全级别设置。 您可以在 CIS 设置的最佳实践 中找到指示信息。
最佳实践 3:安全地激活 Web 应用程序防火墙 (WAF)
安全部分中提供 WAF。 在此,我们将以相反的顺序介绍这些设置,以确保在为整个域打开 WAF 之前,尽可能安全地配置 WAF。 这些初始设置通过填充安全性事件来进一步调优,从而减少误报。 WAF 将自动进行更新以处理发现的新漏洞。 有关更多信息,请参阅 使用安全性事件功能。
WAF 保护您免受以下类型的攻击:
- SQL 注入攻击
- 跨站点脚本编制
- 跨站点伪造
WAF 包含一个默认规则集,其中包括阻止最常见攻击的规则。 目前,我们允许您启用或禁用 WAF,并对 WAF 规则集中的特定规则进行微调。 请参阅 WAF操作 文档,了解规则集和每条规则的行为的更多详情。
有关更多信息,请参阅 Web 应用程序防火墙(WAF)概念。
最佳实践 4:配置 TLS 设置
IBM CIS 可用作反向代理,并提供多种流量加密选项。 作为反向代理,我们会关闭数据中心的 TLS 连接,并打开与您的源服务器的新 TLS 连接。
TLS 提供六种运行模式,按照从最安全到最不安全(关闭)的顺序排列:
- 经过验证的原点拉取:(仅限企业版)
- HTTPS 仅原点拉动 (仅企业)
- 端到端 CA 签名 (默认值和推荐值)
- 端到端灵活 (边缘到原点证书可以自签名)
- 客户端到边缘 (边缘到原点不加密,不支持自签名证书)
- 关闭 (不推荐)
有关不同运行模式的详情,请参阅 TLS 选项。
通过 IBM CIS,您可以使用自定义证书,也可以使用 CIS 为您提供的通配符证书。
上传定制证书
点击“添加证书”,输入证书、私钥和捆绑方法,即可上传自定义证书。 上传自定义证书后,您可以立即获得加密流量的兼容性,并保持对证书(例如扩展验证 (EV) 证书)的控制。CIS 不支持通过订购的证书或通用证书进行证书固定。 如果您想使用证书固定功能,建议您上传并维护自己的自定义证书。
如果上传的是自定义证书,则由您负责管理证书。 例如,CIS 不会跟踪证书过期日期。
订购专用证书
CIS 通过提供专用证书,使您的证书管理变得简单。 您不再需要生成专用密钥、创建证书签名请求 (CSR) 或记住更新证书。 您可以点击“添加证书”订购通配符证书,或输入主机名订购专用自定义证书。 证书类型有
- SHA-2/ECDSA 使用 密钥的签名证书、P-256
- SHA-2/RSA 使用 RSA 2048 位密钥的签名证书,以及
- SHA-1/RSA 使用 RSA 2048 位密钥的签名证书。
CIS 可以为所有顶级域 (TLD) 颁发证书,但以下顶级域除外:
.cu
(古巴).iq
(伊拉克).ir
(伊朗).kp
(北朝鲜).sd
(苏丹).ss
(南苏丹).ye
(也门)
CIS 管理证书到期日期。 要编辑专用定制证书上的主机名,必须重新订购,然后删除。 例如,使用主机名 alpha.yourdomain.com
订购专用定制证书。 要向专用定制证书添加主机名 beta.yourdomain.com
,请使用主机名 alpha.yourdomain.com
和 beta.yourdomain.com
订购另一个专用定制证书。 之后,_必须_删除原始专用自定义证书。
首次订购专用证书时,会执行域控制验证 (DCV) 流程,生成相应的 TXT 记录。 如果删除 TXT 记录,则在订购另一个专用证书时会再次发生 DCV 过程。 如果删除专用证书,那么不会删除与 DCV 过程对应的 TXT 记录。
以下是订购专用证书时常见的错误:
Error connecting to certificate service.
Error while requesting from certificate service.
如果在订购证书时出现错误,请刷新页面并重试。
使用供应的证书
IBM 已与多个认证中心 (CA) 合作,为客户提供域通配符证书。 设置这些证书可能需要人工验证。 您的支持团队可以帮助您执行这些额外的步骤。
边缘的证书优先级
以下列表显示了证书在我们边缘显示的优先级:
- 上传的定制
- 专用定制
- 专用通配符
- 全球
最低 TLS 版本
请参阅最低 TLS 版本。 较高级别的 TLS 提供更高的安全性,但是可能阻止客户连接到站点。
最佳实践 5: 配置速率限制
使用速率限制规则,通过阻止符合 URL 模式或超过定义阈值的客户端 IP 地址,保护网站或 API 免受恶意流量的攻击。 速率限制的主要用途如下:
- 对资源实施细粒度访问控制。 这一过程包括根据用户代理、IP 地址、推荐人、主机、国家和世界地区等标准进行访问控制。
- 按用户代理限制: 常见用例是限制单个用户代理执行请求的速率。
- 允许特定 IP 地址或 ASN:控制资源访问的另一个用例是在速率限制规则中排除或包括 IP 地址或自治系统号 (ASN)。
- 按推荐人限制:有些应用程序会收到来自其他来源的请求(例如,链接到第三方网页的广告所使用的请求)。 您可以限制单个推荐页面产生的请求数量,以管理配额或避免间接 DDoS 攻击。
- 按目的地主机限制:创建一个以主机为计数特征的限速规则。
- 防止凭证填充和帐户接管攻击。
- 限制单个客户机执行的操作数。 这一行动包括防止机器人刮库、访问敏感数据、批量创建新账户以及在电子商务平台上进行程序化购买。
- 防止内容搜刮(通过查询字符串)
- 防止内容搜刮(通过正文)
- 限制来自机器人的请求
- 保护 REST API 免遭资源耗尽 (目标 DDoS 攻击) 和资源普遍滥用。
- 防止卷积攻击
- 保护资源
- 通过防止服务器超负荷和限制操作数来保护 GraphQL API。
- 限制操作数
- 防止服务器超负荷